ニュース
2004/03/30 14:47 更新
DoS攻撃も仕掛けるNetSky.Q、感染被害は4ケタ突破
昨日よりインターネット上に広がっている「NetSky.Q」の感染は、いまだに拡大している。解析の結果このウイルスには、DoS攻撃を仕掛ける機能が備わっていることも明らかになった。
昨日よりインターネット上に広がっているNetSkyの最新の亜種、「NetSky.Q」の感染は、いまだに拡大しているようだ。
トレンドマイクロや日本ネットワークアソシエイツの集計によると、NetSky.Qの感染報告数は、3月30日午後の時点でそれぞれ1000件近く(全世界)に上っている。このように被害が増加し続けていることを受け、ウイルス対策ベンダー各社は、日本時間の3月29日夕方から夜にかけて同ウイルスの危険度を引き上げた。
(3月30日16時追記:トレンドマイクロによると、30日16時の時点で全世界のNetSky.Q感染数は1000件を突破した。特に日本国内での感染報告が目立つという。国内からの報告数は、29日はわずか5件にとどまっていたのものの、30日には急増し、121件に達したということだ。しかもうち半数は、本当に感染し、被害をこうむってしまったケースという。同社アンチウイルスセンターのウイルスエキスパート、岡本勝之氏は、これほど感染が広まった背景として、MyDoomのときと同様、壊れたメール[エラーメール]を装うソーシャルエンジニアリング的なテクニックを悪用している点が挙げられるとしている)。
また情報処理推進機構セキュリティセンター(IPA/ISEC)も、NetSky.Qに関する情報をまとめ、警戒を呼びかけている。
日本ネットワークアソシエイツやシマンテックによると、解析の結果、NetSky.QにはDoS(サービス妨害)攻撃を仕掛ける機能が仕込まれていることも判明した。同ウイルスに感染したPCの日付が4月8日から11日の間、「www.edonkey2000.com」「www.kazaa.com」「www.emule-project.net」「www.cracks.am」および「www.cracks.at」の各Webサイトに対し、DoS攻撃を仕掛けるという。またその前に、PCの日付が2004年3月30日の午前5時11分になると、ビープ音を鳴らし始めるという。
添付ファイルは疑え
このウイルスは、エラーメッセージを装った電子メールの添付ファイルの形で届く。もし添付ファイルをクリックしてしまうと、ウイルスは自分自身をローカルディスク内にコピーする。そしてPC内のHTMLファイルやテキストファイルなど、広範なファイルを検索して電子メールアドレスを抜き出し、自分自身のSMTPエンジンを用いて大量に自分自身をばらまく仕組みだ。
ただこのとき、「@sophos」や「@pandasof」、それに「@microsof」「abuse@」といった文字列を含むメールアドレスには配信を行わない。これは、ウイルス対策ベンダーへの自身の流通を防ぐことで、発見を遅らせる狙いがあると見られる。
NetSky.Qはまた、Windowsに存在するセキュリティホール(MS01-020)を悪用しても感染を広める。この脆弱性を放置していれば、明示的に添付ファイルをクリックしなくても、ウイルスが送りつけるメールを開いたりプレビューするだけで感染してしまう。ちなみにこのセキュリティホールは、過去にはSwenやKlezにも悪用されたことのある「古典的」脆弱性だ。なお、Windows XPにはこの問題は存在しない(それでも添付ファイルをクリックしてしまえば感染は免れない)。
したがってまずは、Windows XP以前のOSを利用している場合、上記の脆弱性を修正するパッチを適用していることを確認すべきだ。このパッチを適用できない(したくない)ならば、Outlook/Outlook Express以外のメーラーを利用するべきである。
また、どんなメーラーを利用していたとしても、「エラーメッセージと思しき電子メールの添付ファイル」には触れないことも重要だ。NetSky.Qに限らず、今後は、なんとなく怪しいZIPファイルやPIFファイル、EXEファイルが添付されたメールを受け取った場合、たとえ知り合いのメールアドレスから送られたものであってもしばらく「放置」し、ウイルス情報を確かめた後に対処するほうがいいかもしれない。
(3月30日22時追記:NetSky.Qが送りつけるメールの中には、本文中にHotmailのメッセージを装ったURLが記されたものもある。このURLをクリックしても、ウイルスに感染してしまう。添付ファイルだけでなく、URLについても不用意にクリックすることのないよう注意が必要だ)。
合わせて、ウイルス対策ソフトのエンジンと定義ファイルを最新の状態にアップデートし、チェックすることも忘れないようにしたい。ただ、ウイルスチェックをすり抜けてくるケースがまったくないわけではないため、電子メールの添付ファイルの扱いには極力注意が必要だ。
関連記事
国内でも多数の感染例、NetSkyの新亜種「NetSky.q」に注意をまたもや発見されたBagle亜種、いったいどこまで?続出する亜種、英文メールの添付ファイルに注意をNetsky.D、感染急拡大ウイルス対策ベンダー各社、Netskyの亜種「Netsky.C」に警告関連リンク
IPA:「W32/Netsky」ウイルスの亜種(Netsky.Q)に関する情報日本ネットワークアソシエイツ:W32/Netsky.q@MMトレンドマイクロ:WORM_NETSKY.Qシマンテック:W32.Netsky.Q@mmソフォス:W32/Netsky-Q日本エフ・セキュア:NetSky.Q[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
